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Abstract of DE3621106 

The subject of the invention is a method of ON 
LINE processing of input quantities, which are 
generated in a process or intended for it, as 
equal input quantities, using two processors, 
one of which, in normal operation, as the 
central processor (1), generates manipulated 
quantities for servo components of the 
process. The other, as the backup processor 
(2), generates manipulated quantities for 
comparison with the manipulated quantities of 
the central processor (1). The scan time of the 
backup processor (2), the scan cycles of which 
for the input quantities are each triggered by 
the central processor (1), is less than the 
preset scan time of the central processor (1 ). 
When a trigger command from the central 
processor (1) to the backup processor (2) fails 
to occur for the respective scan cycle, 
manipulated quantities which put the process 
into a non-critical state are fed to the servo 
components of the process. 
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Verfahren zur ON-LINE-Verarbeftung gfeichdr Eingabegrd&en mittels zweier Prozessoren 



Gegenstand der Erf indung 1st ein Verfahren zur ON-LINE- 
Verarbeltung von EingabegroBen, die in einem ProzeB er- 
zeugt warden oderftir dlesen bestimmtsind, als gleiche Eln- 
gabegrd&en mittels zweier Prozessoren, von denen etner els 
Zentrafprozessor (1) bef ungestfirter Arbeitswelse SlellgrA- 
Ben fur Stelfglieder das Prozesses erzeugt Der andere er- 
zeugt eis Sicherhettsprozessor (2) Stellgrdfien f flr den Ver- 
gleicn mit den StelfgroBen des Zentralprozessors (1). Die 
Abtaatzeit des Sicherheitsprozessors (2), dessen Abtastzy- 
klen fur die Eingabegrp&en /awaits vom ZentralprozeSsor (t) 
ausgelfist warden, igt kleiner als die vorgegebene Abtastzeit 
des Zentralprozessors (1). Bel Ausbleiben eines vgm Zen- 
tralproze&sor (1) an dan Sicherheitsproie&sar (2) gegebenen 
Ausjd&ebefehls fur den jewetligen Ablastzyklus warden den 
StelfgHadern des Prozessas StelfgrSBon zugefuhrt, die den 
Proza&in efnenunkritischen Zustandverselzen. 
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1, Verfahren zur ON-LINE- Verarbeitung von Ein- 
gabegrOBen. die in einem ProzeB crzeugt werden 
oder fttr dies en bestimmt sind, als gleiche Eingabe- 
grOBcn mittels zweier Prozessoren, von denen ei- 
ner als Zentralprozessor (1) bei ungestOrter Ar- 
beitsweise StellgroBen fur Stellglieder des Prozes- 
ses und der andere als Sicherheitsprozessor (2) 
StellgroBen fflr den Vergleich rait den StellgroBen 
des Zentralprozessors (1) erzeugt, dadurch ge- 
kennzeichnet, daB die Abtastzeit des Sicherheits- 
prozessors, dessen Abtastzyklen fttr die Eingabe- 
grOBen jeweils vom Zentralprozessor (1) ausgelOst 
werden, kleiner als die vorgegebene Abtastzeit des 
Zentralprozessors (1) ist, und daB bei Ausbleiben 
eines vom Zentralprozessor (1) an den Sicherheits- 
prozessor (2) angegebenen AuslOsebefehls fur den 
jeweiligen Abtastzyklus StellgroBen den StellgJie- 
dern des Prozesses zugefUhrt werden, die den Pro- 
zeB in einen unkritischen Zustand versetzen. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet daB Prozessoren mit unterschiedlichem 
Aufbau eingesetzt werden. 

3. Verfahren nach Anspruch 1 oder % dadurch ge- 
kennzeichnet, daB die abgetasteten EingabegrOBen 
nach der Eingabe in beide Prozessoren gegenseitig 
ausgetauscht und in den Prozessoren miteinander 
verglichen werden. 

4- Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB bei Abweichungen der Eingabegro* 
Ben von den vom jeweils anderen Prozessor emp~ 
fangenen EingabegrOBen, die einen vorgebbaren 
Betrag tibersteigeni ein weiterer Abtastzyklus aus- 
gelOstwird, 

5. Verfahren nach einem der vorhergehenden An- 
sprQche, dadurch gekennzeichnet, daB die Stellgro- 
Ben aus dem Zentralprozessor (1) und die StellgrO- 
Ben aus dem Sicherheitsprozessor miteinander ver- 



glichen werden und daB die StellgroBen aus dem 40 der Sicherheit erreichbar, 



als gleiche EingabegrOBen mittels zweier Prozessoren, 
von denen einer als Zentralprozessor bei ungestOrter 
Arbeitsweise StellgroBen fQr Stellglieder des Prozesses 
und der andere als Sicherheitsprozessor StellgroBen fur 
5 den Vergleich mit den StelfgrOBen des Zentralprozes- 
sors erzeugt. 

Aus Sicherheitsgrlinden werden vieifach Prozessoren 
im Parallelbetrieb fur Steuer- und Regelungsaufgaben 
eingesetzt Beide Prozessoren verarbeiten die gleichen 
10 Eingangsdaten und erzeugen im stOrungsfreien Betrieb 
gleiche Ausgangsdaten. Wenn die AusgangsgroBen bei- 
der Prozessoren gleich sind, werden die Ausgangsgro- 
Ben des einen Prozessors an Stellglieder des Prozesses 
weitergeleitet 

Der Erfindung Hegt die Aufgabe zugrunde, ein Ver- 
fahren der eingangs beschriebenen Gattung derart wei- 
terzuentwickeln, daB die Sicherheit zur Erkennung von 
Fehlern bei der Verwendung von zwei Prozessoren ver- 
groBert wird. 

Die Aufgabe wird erfindungsgemafl dadurch geldst, 
daB die Abtastzeit des Sicherheitsprozessors, dessen 
Abtastzyklen fur die EingabegrOBen jeweils vom Zen- 
tralprozessor ausgelOst werden, kleiner als die vorgege- 
bene Abtastzeit des Zentralprozessors ist, und daB bei 
25 Ausbleiben eines vom Zentralprozessor an den Sicher- 
heitsprozessor angegebenen AuslOsebefehls fUr den je- 
weiligen Abtastzyklus StellgroBen den Stellgliederndes 
Prozesses zugefuhrt werden, die den ProzeB in einen 
unkritischen Zustand versetzen. 

Bei diesem Verfahren ist es moglich, in den beiden 
Prozessoren verschiedene Progamme zur Verarbeitung 
der gleichen EingangsgrdBen und zur Erzeugung der 
gleichen AusgangsgroBen einzusetzen. Damit kOnnen 
Software-Fehler, die in beiden Prozessoren zugleich 
auftreten und die zu falschen, als solche nicht erkennba- 
ren Ergebnissen f tihren, vermieden werden. Insbesonde- 
re bei komplexen Programmen, bei denen vieifach nicht 
alle Einzelheiten Uberprflft werden oder Uberpruft wer- 
den kdnnen, ist hierdurch eine wesentliche Erhdhung 
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Zentralprozessor nur bei Gieichheit an die Stell- 
glieder des Prozesses ausgegeben und bei Un- 
gleichheit StellgrdBen ausgegeben werden, durch 
die der ProzeB in einen unkritischen Zustand ver- 
setztwird 

6. Verfahren nach einem der vorhergehenden An- 
sprtlche, dadurch gekennzeichnet, daB die Prozes- 
soren innerhalb eines Regelkreises als Regler ar- 
beiten, die aus Istwerten und vorgebbaren Sollwer- 
ten die Regelabweichungen bestimmen und hieraus so 
die StellgroBen fiir die Stellglieder berechnen. 

7. Verfahren nach einem der vorhergehenden An- 
sprtiche, dadurch gekennzeichnet, daB die beiden 
Prozessoren nach unterschiedlichen Programmen 
aus gleichen EingangsgroBen die StellgrOBen be- 
stimmen. 

8. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB nach dem 
Zurucksetzen der beiden Prozessoren beide initiali- 
siert werden, worauf der Zentralprozessor (1) Nor- 
mierungsparameter erzeugt und diese auch dem 
Sicherheitsprozessor (2) zufahrt 



Beschreibung 

Die Erfindung bezieht sich auf ein Verfahren zur ON- 
LINE- Verarbeitung von EingabegrOBen, die in einem 
ProzeB erzeugt werden oder fOr diesen bestimmt sind, 



Vorzugsweise werden Prozessoren mit unterschiedli- 
chem Aufbau eingesetzt Die Prozessoren kOnnen ver- 
schiedene Strukturen und verschiedene Taktfrequenzen 
aufweisen. Damit wird vermieden, daB die gleichen Feh- 
ler zugleich in beiden Prozessoren auftreten, was zu 
falschen AusgangsgroBen fuhren wttrde, deren Fehler- 
haftigkeit nicht erkannt werden kOnnte. Die Sicherheit 
der Verarbeitung der EingangsgrOBen wird damit er- 
hohL 

Bei einer bevorzugten Ausfuhrungsform werden die 
abgetasteten EingabegrOBen nach der Eingabe in beide 
Prozessoren gegenseitig ausgetauscht und in den Pro- 
zessoren miteinander verglichen. Damit ist es moglich, 
fehlerhafte Daten, die bei der Eingabe auftreten, festzu- 
stellen. Die Daten kOnnen nach der Feststellung von 
Fehlern, je nach der Art und GrOBe der Unterschiede, 
von der Weiterverarbeitung ausgeschlossen oder auch 
nach entsprechender Obernahme durch beide Prozes- 
soren weiterverarbeitet werden. Unter Umstanden 
kann auch eine Wiederholung eines Abtastzyklus 
zweckmMBig sein, um Qbereinstimmende EingangsgrO- 
Ben zu erhaiten. Falls dies in wiederholten Abtastzyklen 
nicht erreichbar ist, wird zweckmSBigerweise der Pro- 
zeB in den unkritischen Zustand ttbergefuhrt, w§hrend 
65 zugleich ein Fehler, der sich auf den Eingabebereich 
bzw. auf den Vergleichsbereich bezieht, gemeldet wird 
Bei einer zweckmaBigen AusfOhrungsform werden 
die StellgrOBen aus dem Zentralprozessor und die Stell- 



53 



60 




OS 36 21 106 

_ 3 4 

grfiBen aus dem Sicherheitsprozessor miteinander ver- fuhrten Daten ermoglichen. Auf die Initialisierung (8) 

glichen, woba die StellgroBen aus dem Zentralprozes- folgt beim Zentralprozessor (1) eine Selbstiustieruna 

sor nur bei Gieichheit an die StelJglieder des Prozesses die mil (10) bezeichnet ist Bei der Selbstjuslierung we* 

ausgegeben und bei Ungleichheit StellgrSBen ausgege- den Parameter bestimmt die fur das jeweilige Regelver- 

ben werden, durch die der ProzeB in einen unkritischen 5 fahren maBgebend sind. Diese Parameter werden nach 

Zustand versetzt wird. Mit d,esen MaBnahmen wird ein AbschluB der Selbstjustierung (10) fiber den Bus (3) dem 

sehrhohes MaB an Sicherhelt erreicht Sicherheitsprozessor (2) zuglfuhrt, der in einem (E 

Nach einem Zurucksetzen der beiden Prozessoren nahmeschritt (11) diese Parameter in sein Programm 

werden zweckmflBujerweise beide Prozessoren initial einbaut. Damit wird gewahrleistet daB beide Prozesso- 

sieit, worauf der Zentralprozessor Normierungspara- ia ren mit den gieichen Parametern arbeiten. Nach der 

m 2S!" e " eu S. 1 ™* dem Sicherheitsprozessor EinsteUung der Normierungsparameter befmden sich 

ziifflhrt Damit wird gewahrleistet daB beide Prozesso- beide Prozessoren im Bereitschaftszustand fur die Aus- 

ren m glacher Wense eingestellt sind, bevor die Verar- Obung des Regelverfahrens 

b %^ V Z E ^ em E^ B ^ t rf S Igt o-. Der Zentralprozessor (l)beginnt das Regeiverfahren 

Vor^gsweisearbeitenc^ beiden Prozessoren inner- is mit einem Abtastzyklus, der in Eg. 2 mit (12) bezeichnet 

halbemesRegeUcreisesals Regler.dteauslstwertenund ist Der Abtastzyklus (12) bezieht sich auf das Einlesen 

vorgebbaren SoUwerten die Regelabweichungen be- von MeBgrflBen aus dJ Prozess. Mit Begint dS Ab" 

^•irn^T^^'^^^i^ 516 ^ 6 ' ^y^a^veranlaBtderZentralprozeslortndureh 
• ^^iw C ° Cn l E d !? e £ nen Ver L ahren Iassen entsprechenden Impuls den Beginn eines Abtast- 

sich vorteilhafterweise fur die Regelung der Drehzahl 20 zyklus(13) des Sicherheitsprozessors (21 Die Abtastzv- 
bzw. _der ^GeschwmAgkeit von Kraftfahrzeugen einset- Men beider Prozessoren unterscheiden sich in Hirer 
zen. Em SoUwert der RegelgroBe ist Z.B. durch die Stel- Dauer. 

lung eines Gashebds oder Gaspedals gegeben. Der Mit dem Abtastzyklus (12) beginnt das Einlesen von 
btwert der ^RegelgrtBe ergibt sich durch den Stellwin- EingangsgroBen.dieObeAragungdereingdesenenEii- 
kel eraer Vergaserklappe. Die Stellung der Vergaser- 25 gangsgrSBen zum Sicherheiteprozessor (2i die Cber- 
klappe wird dem Sollwert nachgefuhrt. Dieser Regel- nahme der vom Sicherheitsbprozessor ttj I erhaltenen 
Kl£i!?^ Eingabewerte und der Vergleich zwischen dem im Ab- 

Drehzahl selbst m die Regelung embezogen wird, d.h. es tastzyklus (12) gewonnenen EingangsgroBen mit den 
wird die Drehzahl als weiterer Istwert gemessen und vom Sicherheitsprozessor (2) erhaltenen EinganKsgrS- 
mit einem Sollwert verghchen, der sich aus der SteUung 30 Ben. Dieser Verarbeitungsschritt ist in Fig. 2 mit ftfl 
des Gaspedals oder Gashebels ergibt. Zu bertlcksichti- bezeichnet. Im Sicherheitsprozessor (1) werden in ei- 
gen ist hierbei aucb das Obersetzungsverhaltnis des ein- oem Verarbeitungsschritt (15) entsprechende MaBnah- 
getegtenGangs. men ausgefahrt, dJi. die EingangsgroBen werden einge- 

Weitere Emzelheiten. Merkmale und Vorteile der Er- lesen und danacb zum Zentralprozessor (1) ubertragen 
findung ergeben sich aus der folgenden Beschreibung 35 AnschlieBend werden die durch den Abtastzyklus (13) 
eines zeicbnensch dargestellten AusfUhrungsbeispiels. und vom Zentralprozessor (1) empfangenen Eingangs- 
Eszeigem . . groBen miteinander verglichen. Bei den Eingangsgrd- 

Fig. 1 ein BlockschaltbJd eines Regelkreises mit zwei Ben handelt es sich insbesondere urn Soflwerte und I Ist- 
ftozessorenund wert Beispielsweise wird der SoUwert einer Geschwin- 

* ein 'SET" der e,nes m,t den *">■ <° tifkeh, z. B. aus der Stellung eines Gaseinstellungsele- 

zessoren gemiB Fig. 1 ausgefuhrten Regelverfahrens. mentes bestiramt Der Istwert wird durch die Stellung 

Zwei Prozessoren, em Zentralprozessor (1) und ein einer Drosselklappebestimmt 
Sicherheitsprozessor (2* sind an einen externen Bus (3) Wenn die Vergleiche eine Obereinstimmung der Ein- 
angeschlossen. mit dem auch eine Eingabe-. Ausgabe- gangsgrSBen und der jeweils vom anderen Prozessor 
s^tung{4)verbunden isUie0berLeitungen(5) m it 45 empfangenen Eingabewerte ergeben, wird auf den 
MeBwertgebern und Stellgliedern einer Vorrichtung (6) nichsten Verfahrensschritt ubergegangen. Diese Schrit- 
verbunden ist, mit der em Prozess durchgefuhrt wird. Es te sind in FJg. 2 jeweils fur den Zentral- und den Sicher- 
wird beispielsweise die Drehzahl eines Kraftfahrzeug- heitsprozessor (1, 2) mit (16) und (17) bezeichnet Ist das 
motors oder die j Geschwmdigkeit des Kraftfahrzeugs Vergleichsergebnis negativ, dann wird das AusmaB der 
geregdt. Als Sollwert wrd em von der Stellung des so Abweichung flberprOft. Bei geringfiigigen Abweichun- 
Gaspedab abhangiger MeBwert erzeugt, der bereits in gen, dh. solchen in den niedrigsten Stellenwerten, wer- 
digitaler Form mittels einer Codierscheibe erzeugt wer- den fQr beide Prozessoren die jeweiligen Eingangsgro- 
den kann. per Istwert wird aus der Position einer Dros- Ben als gleiche Werte festgelegt, bevor die Weiterverar- 
selklappe des Vergasers gebildet. Die Geschwindigkeit beitung beginnt Bei groBeren Abweichungen werden 
kann an einem Tachometer festgestellt werden. Die js neueAbtastzykleneingeleitet Falls diese nach mehrma- 
Drenzahl des Motors wird von einem Drehzahlmesser Kger Wiederholung nicht zu Qbereinstimmenden Ein- 
a T^ m ?™\i • • ™ gangsgrdBen fuhren. werden StellgroBen erzeugt, die 

In Fig. 2 sind in einem Diagramm die bei der Rege- den Prozess in einen vorgebbaren, unkritischen Zustand 
lung mit dem Zentralprozessor (1) und dem Sicherheits- versetzen. Zugleich wird eine Fehlermeldung ausgege- 
prozessor(2)durchgefubrtenSchrittedargestellt vj ben, die sich auf Eingabebefehle bezieht und damit erne 

Ausgangspunkt 1st em Zustand, in dem sich sowohl FehlerlokalisierungennogUcht 
der Zentralprozessord) als auch der Sicherheitsprozes- Auf die Schritte (16, 17) folgen in den beiden Prozes- 
sor (2)in zuruckgese^tztem Zustand befinden, der mit (7) SO ren jeweils Rechenschritte (18. 19) zur Ermittlung der 
bezeichnet ist Bei der Inbetnebnahme geschieht eine AusgangsgrflBen. Es werden z. B. aus den digitalen Ist- 
rS rUn f' f «^ mZen ^P™^»r (l)mit(8) « „nd Sollwerten die Regelabweichungen gebildet und 
und fur den Sicherheitsprozessor (2) mit (9) bezeichnet diese werden mit als Parameter vorgegeblnen Werten 
7 5f i f* r ,nit 'f I,sie j rung werden beide Prozessoren in multipliziert Beispielsweise wird eine der Drehzahl des 
ZustSnde versetzt die die Verarbeitung extern zuge- Motors entsprechende Regelabweichung mit einem 

ORIGINAL INSPECTED 
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Verstarkungsfaktor muhipliziert Der mit dcm ZentraJ- 
prozessor (1) berechnete Werte wird in einem Schritt 
(20) dera Sicherheitsprozessor (2) zugefflhrt Dieser 
ttbermittelt selnerseits den im Schritt (19) ermittelten 
Ausgangswert fiir die Drehzahl des Motors in einem 5 
Schritt (21) dem Zentralprozessor (1). In beiden Prozes- 
soren werden die berechneten und vom jeweils anderen 
Prozessor empfangenen Werte miteinander verglichen. 
Stimmen die Werte Qberein, dann schlieBen sich in bei- 
den Prozessoren jeweils die Schritte (22, 23) an, in denen io 
die fflr das jeweiltge Stellglied bestimmten StellgroBen 
crrechnet werden. Diese StellgroBen werden dem je- 
weils anderen Prozessor mitgeteilt Beide Prozessoren 
vergleichen nun die berechneten und empfangenen 
StellgroBen miteinander. Bei Obereinsu'mmung gibt der 15 
ZentraJprozessor (1) die StellgroBen fiber den Bus (3) 
und die Eingabe-, Ausgabeschaltung (4) an die Stellglie- 
der der Vorrichtung (6) aus. AnschlieBend geht der Zen- 
tralprozessor (1) in einen Warteschritt (24) Uber, der bis 
zum Ende der vorgegebenen Abtastzeit dauert. Die ge- 20 
samte Abtastzeit des Sicherheitsprozessors (2) ist kiir- 
zer als die Abtastzeit des Zentralprozessors (1). Da der 
Sicherheitsprozessor (2) immer nur vom Zen tralprozes- 
sor (1) zu einem AbtastzykJus veranlaBt wird ergibt sich 
eine Synchronisation beider Prozessoren. 25 

An den Schritt (23) schlieBt sich beim Sicherheitspro- 
zessor (2) ein Warteschritt (25) an, der durch einen Start- 
impuls des Zentralprozessor (1) beendet wird und in den 
Schritt (13) Qbergeht 

Stimmen die AusgangsgroBen und die StellgroBen 30 
nicht Qberein, dann teilen sich dies die beiden Prozesso- 
ren mit In diesem Fall erzeugt der Zentralprozessor (1) 
StellgroBen. die den Prozess in einen unkritischen Zu- 
stand versetzen. 

Beide Prozessoren sind vorzugsweise unterschiediich 35 
ausgebiidet Dies kann bedetiten, daB die Prozessoren 
verschiedene Taktzeiten, verschiedene Befehle, ver- 
schiedene Operationszyklen und einen verschiedenen 
Aufbau der Bestandteile aufweisen. Auch die Haiblei- 
tertechnologie kann verschieden kann. Damit wird ver- 40 
hindert, daB glciche Fehler in beiden Prozessoren auf- 
treten, die zu gleichen, aber f alschen Ergebnissen f uhren 
die nicht als falsch erkannt und daher dem Prozess zuge- 
fuhrt werden. Die unterschiedliche Ausbildung der Pro- 
zessoren erhdht also die Sicherheit. 45 

Weiterhin sind die Programme zur Bestimmung der 
AusgangsgroBen und der StellgroBen in beiden Prozes- 
soren zweckmMBigerweise unterschiediich ausgebiidet 
Diese MaBnahme verhindert, daB gleiche Fehler in bei- 
den Programmen auftreten, die zu gleichen aber fal- 50 
schen Ergebnissen fflhren, die nicht als falsch erkannt 
und daher dem Prozess zugefilhrt werden. Die unter- 
schiedlichen Programme sind vorwiegend bei komple- 
xen Prograrnmen vorteilhaft, bei denen nicht immer alle 
moglichen Program mzustande Uberpruft werden oder 55 
iiberprflft werden konnen. 

1m Sicherheitsprozesor (2) wird zweckm&Bigerweise 
nach Ablauf des Warteschritts (23) ein Zeitgeber ange- 
stoBen, der nach Ablauf einer vorgegebenen Zeit bei- 
spielsweise uber den Sicherheitsprozessor (2) dann die eo 
Ausgabe von StellgrdBen veranlaBt die den ProzeB in 
einen unkritischen Zustand versetzen, wenn der Zen- 
tralprozessor (1) kcinen Startimpuls mehr dem Sicher- 
heitsprozessor (2) zufiihrt. 

Die Abtast2eiten erstrecken sich fQr die beiden Pro- 65 
zessoren jeweils vom Beginn der Abtastzyklen (12) bzw. 
(13) an bis zu den Enden der Wartezyklen (24) bzw. (25). 
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